Valentin Barbolin

У меня вот такая дичь.

echo "100 	vpn" >> /etc/iproute2/rt_tables
echo 1 > /proc/sys/net/ipv4/ip_forward

export VPN_NET="10.10.10.0/24"
export VPN_IFACE="tun1"
export VPN_OFACE="tun2s1"

iptables -t nat -A PREROUTING -s $VPN_NET -i $VPN_IFACE -m conntrack --ctstate RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
iptables -t nat -A PREROUTING -s $VPN_NET -j MARK --set-xmark 0x1/0xffffffff
iptables -t nat -A PREROUTING -s $VPN_NET -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff

iptables -t nat -A POSTROUTING -s $VPN_NET -o $VPN_OFACE -j MASQUERADE

ip rule add fwmark 1 table vpn
ip route add default dev $VPN_OFACE table vpn
ip route flush cache

[local_calls-p1]
exten => _[1-9],1,NoOp(Call on local subscriber)
same => n,Dial(PJSIP/10${EXTEN},30)
same => n,Playback(kv-number&vm-isunavail)
same => n,Hangup()

exten => _[1-5][0,1-7],1,NoOp(Call on local subscriber)
same => n,Dial(PJSIP/1${EXTEN},30)
same => n,Playback(kv-number&vm-isunavail)
same => n,Hangup()

Базово, достаточно одного правила в прероут и разрешить форвард (если по умолчанию запрещен).

sudo nft add rule nat PREROUTING iifname "eth0" tcp dport {224} dnat 10.0.0.2

(wg0) на ip 10.0.0.2?

Кто у него GW? Если не этот сервер то надо еше SNAT (masquerade),

sudo nft add rule nat postrouting oifname wg0 masquerade

https://habr.com/ru/company/cloud4y/blog/530516/

https://developer.apple.com/documentation/devicema...

LocalIdentifier
string
The name of the group. If Hybrid Authentication is used, the string must end with "hybrid".

Ключевые слова для поиска. freepbx HANGUPCAUSE - посмотри как это настраивается в группе freepbx.

asterisk > core show application dial
c: If the Dial() application cancels this call, always set ${HANGUPCAUSE}
to 'answered elsewhere'

Вангую. Скорее всего на VPN сервере нет маршрута в сеть 192.168.88.0/24.
Как решить?
- включи NAT на VPN интерфесе
- прописать на VPN сервере маршрут в сеть 192.168.88.0/24.

Для проверки моей теории, поставь в своем trace src address=192.168.88.1.

Поставь на микротике приоритет 9000.
Хорошей практикой является не использовать дефолтное значение на root устройстве.
32768-4096=28672

На MikroTik RB3011 UiAS-RM можно использовать дефолтный конфиг.
MikroTik RBwAPG-5HacD2HnD сбросить к заводским, предварительно установить галочку не применять дефолтный конфиг, подключить к нему по MAC адресу, назначить на бридж IP из сети MikroTik RB3011 UiAS-RM, например 192.168.88.10/24. Потом найти в интернете инструкцию как настроить WIFI на mikrotik. CapsMan тебе не нужен.

Купить шлюз 1-4 GSM слота, например GoIP4. Поставить на ПК софтфоны (microSIP, linphone). Подключить все к облачной АТС и звонить.

План капкан
- выдернуть порт 2 из bridge
- воткнуть во второй порт микротика свич
- назначить на порт 2 адрес 192.168.100.1/24
- настроить на ПК с адресом 192.168.100.50 gw 192.168.100.1
- проверить пинг между 192.168.100.1 и 192.168.100.50
- разрешить на микротике forward между сетями 192.168.100.0/24 192.168.88.0/24
- разрешить на микротике forward между сетями 192.168.100.0/24 и WAN
- добавить на микротике правило маскарада для 192.168.100.50

Такой вот он - Мироктик) Как швейцарский ноЖ!
Если посмотреть на схему микросхем, то можно заметить что между процессором и портами есть отдельный чип который берет на себя роль свича. Так вот, если настраивать VLAN в разделе switch, то ты конфигуришь эту микросхему свича. Если настраивать в bridge, то работа с VLAN будет происходить в процессоре со всеми вытекающими.

Если необходимо гонять трафик в VLAN между портами микротика, то правильнее это делать в switch, тогда транзитный трафик не будет загружать центральный процессор.

Если микротик должен маршрутизировать трафик в этом VLAN, то твой путь bridge.

Тебе необходимо создать MX запись для почтовика и изменить А запись. Допустим у тебя домен example.com
138.2.43.15 - адрес почтовика
138.2.43.16 - адрес сайта

Тебе нужный записи
MX 10 mail.example.com
A mail.example.com 138.2.43.15
A example.com 138.2.43.16

SPF и DKIM тоже необходимо перенатсроить на mail.example.com

Маршруты на самом модеме можно посмотреть?
Вы можете достучаться до клиентов в сети 192.168.5.0/24, т.к. роутер для них GW и у него есть маршрут в сеть VPN. Но ваш модем не имеет маршрута в вашу VPN сеть, а GW у него провайдер. Тут два варианта, прописать маршрут на модеме (если он это позволяет) или настроить NAT на роутере в сторону модема (хотя тут странность, клиенты локальной сети могут зайти на модем, а VPN не могут, значит клиенты локальной сети натятся при доступе к модему и модем всех видит под одним адресом).

https://blog.noblinkyblinky.com/2020/10/26/capturi...

content: "{{ config.stdout | replace('\\n', '\n') }}"

посмотри тут
grep -r AllowOverride /etc/apache2/site-enable/*

или тут
find /var/www/* -name ".htaccess"

Есть уже готовый пресет в fail2ban 0.9.6

[ssh-iptables-ipset4]

enabled  = false
port     = ssh
filter   = sshd
banaction = iptables-ipset-proto4
logpath  = /var/log/sshd.log
maxretry = 6

Так пробовал?
https://pcsupport.lenovo.com/ua/en/products/laptop...

https://g.zeos.in/?q=ubuntu%20wake%20up%20without%...